Cuidado con Chrome: encuentran dos fallos zero-day activos y usados

Cuidado con Chrome: encuentran dos fallos zero-day activos y usados

Rubén Velasco

El navegador web es la puerta de salida a Internet, pero también puede ser la puerta de entrada de piratas informáticos a nuestro PC. Cualquier fallo de seguridad que se descubra en este software puede poner en peligro toda nuestra seguridad por completo. Por ello, es de vital importancia asegurarnos de tener siempre actualizado el navegador, estando protegidos así de cualquier posible vulnerabilidad, como los dos fallos críticos de día cero que se han descubierto hace algunas horas en Google Chrome y que, además, estaba siendo explotados por piratas informáticos.

Google Chrome es el navegador web más usado de todo el mundo, con cerca de un 70% de cuota de mercado. Por ello, es también uno de los programas más controlados por los piratas informáticos, ya que el más mínimo fallo descubierto en él puede poner en peligro a millones de usuarios de una sola vez.

Chrome corrige dos vulnerabilidades de día cero en Windows, Linux y macOS

Ayer mismo, Google lanzaba un parche de emergencia para su navegador web. Este parche, disponible tanto para Windows como para macOS y Linux, coloca el navegador en la versión 86.0.4240.198 y, su objetivo, es proteger a todos los usuarios de dos vulnerabilidades de día cero muy graves que estaba siendo utilizadas por piratas informáticos.

Chrome 86.0.4240.198

Estos fallos de seguridad no han sido descubiertos por los propios investigadores de Project Zero como suele ocurrir en otras ocasiones. Han sido fuentes anónimas quienes han descubierto y reportado los fallos de seguridad a la compañía para que pudiera solucionarlos.

El primero de los fallos corregidos por este parche de emergencia es CVE-2020-16013. Esta vulnerabilidad se debe a una implementación inapropiada del motor JavaScript V8, reportada el pasado 9 de noviembre. Por otro lado, CVE-2020-16017, reportada el 7 de noviembre, se debe a un problema de corrupción de memoria en la función de aislamiento de Chrome, que permite acceder a los datos después de usarlo.

Google, por seguridad, no ha dado mucha más información sobre estos fallos. Algunos investigadores creen que la vulnerabilidad en JavaScript V8 está relacionada con el parche de la semana pasada, aunque no está del todo claro. Puede que se trate de vulnerabilidades totalmente diferentes.

Actualizar el navegador cuanto antes

Dada la peligrosidad de estas dos vulnerabilidades, y sobre todo, su uso activo en la red, debemos asegurarnos de actualizar el navegador. Todos los usuarios de la versión de escritorio de Chrome, independientemente de su sistema operativo, podrán descargar ya mismo la nueva versión 86.0.4240.198 del navegador.

Chrome cuenta con su propio motor de actualizaciones automáticas, por lo que, en un principio, no tendremos que hacer nada para ponerlo al día. Sin embargo, si queremos asegurarnos de tener esta versión, podemos hacerlo abriendo el menú de Chrome y seleccionando el apartado «Ayuda > Información de Google Chrome».

En la ventana que nos aparecerá podremos ver la versión que tenemos instalada. Si esta corresponde con la 86.0.4240.198, o es superior, entonces ya no tenemos que hacer nada. De lo contrario, comenzará el proceso de actualización automático a esta versión. Tras reiniciar Chrome, estaremos a la última.

Si lo preferimos, también podemos bajar Chrome manualmente para instalarlo en nuestro ordenador. El instalador que descargamos desde su web ya nos copia la última versión de este navegador, por lo que estaremos a la última y protegidos desde el primer momento.